EIS : opt-out, patiënt het recht geven haar data niet online beschikbaar te maken!

https://www.security.nl/posting/494053/Verplicht+online+medisch+dossier

Hebben degenen die niet willen dat hun data benaderbaar is via internet en zodoende willen voorkomen dat hun data gehackt kan worden door jan en alleman worden, dan geen recht op zorg?
Is de data dan niet van de patiënt maar heeft het ziekenhuis het exposure-recht te doen wat ze ermee wil?

Kennelijk.

Kennelijk zijn het ziekenhuis en de softwareleveranciers de baas, naast politiek en AP, maar heeft in ieder geval de patiënt zelf er uiteindelijk niets over te zeggen.
Als je security en privacy wil ga je maar in een hutje op de hei liggen ziek zijn.

Is dit nieuws dan? Ik heb niet de indruk dat ziekenhuizen belang hebben bij het afdoende beschermen van (patiënt) gegevens.

Als ik (nog) in de gezondheidszorg werkzaam was pakte ik dit op als een sm...ge belediging.
Nu doe ik deze 'reactie maar af als een mentale afwijking!

Als er ook maar èèn divisie in de samenleving is waar het grootste belang wordt gehecht aan 'client'gegevens is het wel de gezondheidszorg. Maar dat er ofwel door obligate bezuinigingen dan wel in samenhang met IT onnozelheid een gebrek is aan voldoende bescherming van deze gegevens is wèl een feit.

Laat ik met het laatste beginnen. Onnozelheid kun je niemand verwijten, zelfs volwassenen niet. Als je dat doet ben je m.i. een misantroop.
Bezuinigingen kun je wel verwijten. 4 kabinetten achter elkaar hebben dat record gevestigd.
Ik ga niet in details treden want dat is om te janken!

Het is van het grofste schandaal te noemen dat je gezien de bezuinigingen die over de gezondheidszorg al jaren als diarree wordt uitgepoept hier blatant toetert dat de gezondheidszorg een laconieke houding treft m.b.t. patientgegevens.
Waarom?
Dat zal ik je voor de leek begrijpbaar uitleggen:

Een tekort aan (direct) beschikbare èn betrouwbare gegevens is een hindernis die ernstige gevolgen ja zelfs het sterven kan veroorzaken van een patient.

Wie neemt/nemen die verantwoordelijkheid/heden op zich? Jij met je grote mond, of de gezondheidszorg die je verwijt geen belang te hechten bij voldoende beheerde dossiers?

Ten overvloede: een misselijkmakende reactie!!

Dan zal ik het jou ook heel simpel uitleggen - met je misselijk makende reactie:Dat zou in een beperkt aantal gevallen kunnen. Ik maak graag zelf de afweging of ik het op straat liggen van mijn gegevens een groter risico vindt dan het niet beschikbaar zijn van gegevens of omgekeerd.
Voor mensen zonder 'rare' afwijkingen, kan ik me zomaar voorstellen dat 'het niet beschikbaar zijn van gegevens' helemaal niet relevant is. Dus die moeten dan ook maar mee in de grote hoop??Wederom: ik wil die beslissing ZELF maken. En niet door een of andere droeftoeter uit de gezondsheidszorg laten maken - een droeftoeter die meent te moeten beslissen dat het in mijn belang is om mijn gegevens 'beschikbaar' te maken.
Ik vind dat helemaal niet in mijn belang. Ik vind het veel meer in mijn belang dat die gegevens NIET beschikbaar zijn. En dat is een afweging die ieder voor zich zou moeten kunnen maken. En die dus niet voor iemand gemaakt zou moeten worden.Daar ben ik het volkomen mee eens. JOUW reactie is misselijk makend. Mij verplichten mijn gegevens 'inzichtelijk' te maken. Dat maak IK wel uit. Want het zijn MIJN gegevens.

En dat is nou precies waar het schoentje wringt. Een ander meent de baas te moeten zijn over MIJN gegevens.

@aha:
Mijn reactie is niet op de persoon, de uwe wel. Het is mij állang, en tot ongenoegen, bekend dat het in de gezondheidszorg vooral niet gaat om de bescherming van mijn privacy.

En lieve Aha, ik heb het natuurlijk niet over de individuele verpleegkundige die al veel te vaak meer dan zijn/haar stinkende best doet! Ik heb het over de zorgindustrie die ervoor heeft gezorgd dat de patiënt niet veel meer is dan een betalende eenheid die geld kost. Weetjewel?

Zonder maatschappelijke discussie ingevoerd

Door Aha:

Door Anoniem: Is dit nieuws dan? Ik heb niet de indruk dat ziekenhuizen belang hebben bij

[knip]

Als ik (nog) in de gezondheidszorg werkzaam was pakte ik dit op als een

[knip]

Als er ook maar èèn divisie in de samenleving is waar het grootste belang wordt gehecht aan 'client'gegevens is het wel de gezondheidszorg. Maar dat er ofwel door obligate bezuinigingen dan wel in samenhang met IT onnozelheid een gebrek is aan voldoende bescherming van deze gegevens is wèl een feit.

Laat ik met het laatste beginnen. Onnozelheid kun je niemand verwijten, zelfs volwassenen niet.

[knip]

Bezuinigingen kun je wel verwijten. 4 kabinetten achter elkaar hebben dat record gevestigd.
[knip knip knipp]

Bezuinigingen zijn geen enkele reden om ongevraagd patiëntendata aan het internet te hangen!

Dus, 2x niet ter zake doende non-argumentatie met veel tam tam eromheen.

Software met internet portal functionaliteit wordt ontwikkeld, aangeboden en ingevoerd zonder dat er een maatschappelijke discussie over de wenselijkheid ervan heeft plaatsgevonden.

Het sterke vermoeden bestaat zelfs dat via deze technische portal achterdeur het EPD in wat voor vorm dan ook alsnog keihard door de keel van de patiënt wordt gedrukt.
Verkocht onder service, onder de grote vlag van eigenbelang (efficiëntie en de wens een EPD er door te drukken).

Als het eigenbelang groter is ...
dan doet het belang van patiënten er dus minder toe.
En dat is kwalijk.
Zeer kwalijk als dat gaat zonder vrije instemming van de patiënt.
Bijna overal in recordtempo en in stilte doorgevoerd.

Kom maar op met de achterstallige maatschappelijke discussie over privacy, security en (eigen)data recht van de patiënt!

Met de privatisering werden ook de bezuinigingen doorgevoerd. Zorgverleners zijn officieel vrije ondernemers. Het gevolg dat de top zich verrijkt terwijl de werknemers er op achteruit gaan en de kwaliteit minder wordt heeft een grote correlatie.

Nee laten de mensen op de vloer in de zorg niets verwijten. Het verwijt moet gaan naar de bestuurders van de ziekenhuizen. Ze vinden zichzelf en hun vak fantastisch maar ICT stelt niets voor. Dan laat je het aan duur betaalde leveranciers over die zullen het vast allemaal wel weten. Het gebeurt overal.
De uit de hand gelopen affaires met woningbouwcorporaties zijn een ander voorbeeld.

Internet mag het beter nen7510 - iso27k worden al snel te moeilijk. Als je achter de his leverancier aan loopt (eg epic) dan heb je wel iets maar of dat correct is, is wat anders

Geen account aanmaken?

Alternatief je laten behandelen in een ziekenhuis waar ze niets digitaal doen. Het schijnt dat ze dit in diverse 3de wereld landen, of de "arme" EU landen ook nog doen. Misschien een alternatief voor je?

Weinig kwalitatieve bijdrage niet?

Dezelfde DENKFOUT wordt keer op keer op keer gemaakt door jou en ook door aha hier.
Het interne medische reilen en zeilen in het ziekenhuis staat los van implementatie van het internetportal.
Het internetportal is bedoeld (zegt men) voor de klant, dat is de patiënt.
De patiënt kan dan online inloggen om toegang te krijgen tot (al dan niet delen van) haar patiëntendossier !

Het privacy alternatief is dus niet afzien van digitale apparatuur en 'niets digitaal doen,
'MAAR' ALLEEN GEEN PATIENTENDATABASES ONGEVRAAGD AAN INTERNET KOPPELEN !!!

Het is naïef om te denken dat een inlogfunctie of tweefactor functie het hacken of lekken van patiënten data gaat uitsluiten.
Er is het afgelopen jaar gebleken dat er allerlei datalekken zijn geweest bij ziekenhuizen die worden stilgehouden en waar kennelijk betrokken patiënten niet over zijn ingelicht.
Dàt is wat er aan de hand is!

Lees het zelf nog een keer 's.v.p.' :

1) https://www.security.nl/posting/493778/Organisaties+melden+4700+datalekken+bij+toezichthouder

2) https://www.security.nl/posting/493977/Kamervragen+over+datalekken+bij+ziekenhuizen

Leuk hè? Trollen? Dom ff stoken?
Nee dus, het is vooral nogal dom.

("en kom niet verder trollen met 100% veiligheid haal je nooit", want die is er op dit moment dus bij lange na niet.
'Maar' met het niet koppelen met internet kom je snel en eenvoudig heel ver, een wijze les die men eindelijk langzaam maar zeker wel bij belangrijke technische installaties gaat toepassen. Niet alles hoeft aan internet gehangen te worden, ook al is dat de grote mode op dit moment.
Moeten dan eerst alle mogelijk denkbare data van verantwoordelijken zelf elke keer op straat gelegd gaan worden voordat er een keer wat qua security en privacy verandert?
Je zou het bijna denken. Want het lijkt er keer op keer op dat (al dan niet virtueel) eigendom van anderen niet zo belangrijk is.)

o.a. bezuinigingen zijn de oorzaak van het www.digitaliseren van clientdata om te voorkomen dat zij té vaak patient zijn.


Noem eens bronnen voor 'het sterke vermoeden', eigenbelang en de wens het EPD erdoor te drukken'. deze frases spinnen niet meer garen als je poneren dat ik non-ergumentatie aanvoer.


Overal moet maar een discussie over worden gevoerd, Ho neen wacht... bij voorkeur een referendum uitschrijven nietwaar? want onze 'roverheid' is de meest onbetrouwbare factor in onze samenleving huh?
Gaat het misschien aan je voorstellingsvermogen voorbij dat de enigste grens tussen chaos en samenleving afhangt van het vertrouwen dat wij elke 4 jaar schenken aan een samenleving die nog steeds de optimale grens weet te bewaren tussen noodzakelijke openheid en privacy?
Blijkbaar optimaal.
Telkens weer lees je hier de paranoïde rimram over aantasting van privacy, of we indien we niet met hand en tand onze privacy verdedigen tegen elk wissewasje in minder dan een decennium over een maatschappelijke kaart gelijk aan (Belgisch) Congo strompelen.

God wat een humbug!

Of... Ja er is altijd een of...
...durf op een IT gerelateerde site te poneren dat deze sector met de rug tegen de muur in gevecht is met de toenemende digitale criminaliteit.
Dàn schrijf je werkelijk eens iets vernieuwend in plaats van dat inmiddels antieke oorverdovende crescendo 'de overheid vecht onze privacy aan'.
Dan kun je - pas dan - doelgericht stellen dat dientengevolge privacy gevaar loopt aangezien de schendingen op dit gebied astronomische proporties aannemen (Yahoo-hack: 1000000 accounts)

Dan heb je mij voor een stelling gewonnen.

Met dat 'overheidje pesten' of nu weer de gezondheidszorg bereik je bij mij geen respons.

Aha laten we eens een voorbeeld nemen.
Wat dacht je van een politicus aan het roer CEO (wouter bos) met fusie vumc AMC die eerder zichtbaar werd oor het gelijk trekken als his via epic. Het op een portaal gooien zonder rdp policy of wat dan ook al ict service.
Ik geloof niet dat Epic slecht is maar de houding als data verantwoordelijke voldoet niet.

Als CISO bij een ziekenhuis kan ik je verzekeren dat de bescherming van de privacy van patienten uitermate belangrijk wordt gevonden door het grootste deel van het personeel. Uitzonderingen daargelaten zijn de meeste mensen in de zorg namelijk vooral bezig met het welzijn van de patient en niet met het zelf beter worden over de rug van patienten! Ik heb de afgelopen jaren in veel sectoren gewerkt en mijn ervaring is dat er in de zorg veruit het meeste oog is voor de belangen van "de klant".

Over de digitale patientportalen kan ik zeggen: De patient is natuurlijk "de baas" over de eigen gegevens, in sommige portalen (weet niet of dit voor allemaal zo is) moet er echt eerst een account worden geactiveerd voordat je in kunt loggen om bij een deel van je dossier te kunnen. Maar ook als je eigen dossier niet beschikbaar is via de zorgportaal neemt dat natuurlijk niet het risico weg van een zware hack op het zorgportaal waarbij alle dossier buitgemaakt kunnen worden.

Effectief beveiligingsbeleid, multi factor authenticatie en regelmatige pentests zouden inderdaad verplicht moeten zijn op straffe van hoge boetes. Als we echter naar het risico kijken bij een goed ingerichte zorgportaal dan ligt dat risico daar lager dan op allerlei andere vlakken. Van al die datalekken bij zorginstellingen zijn is er volgens mij niet één die vanuit het zorgportaal kwam. De risico's zitten veel meer bij de onderbezette IT afdelingen en het op andere manieren delen (emailen etc) van goedbedoelende, enthousiaste en met hun patienten begane zorgverleners.

Zoals @Aha al heeft gezegd levert het ongefundeerd kritiek leveren op een hele sectoren als de overheid en de zorg niets op.
Hoewel ik bijvoorbeeld ook binnen de overheid wel wat minder positieve ervaringen heb zijn er andere sectoren waar de invloed van de "rotte appels" veel groter is.

Met dien verstande dan dat er juist wel gefundeerde vragen zijn voor een gefundeerd kritische houding.
Iets dat aha overschreeuwde en iets waar jij nou juist wel inhoudelijk op reageert en ook onderschrijft.

Een onbegrijpelijke opmerking dus waarbij ik de rest van je eigen CISO reactie nog even aanhaal :
jaaa,........ maaar,....en/of eigenlijk vooral,..ennnnnnnn (plussssss)
Jullie hebben het over ongefundeerde kritiek maar wat je zelf als bestaand risico aangeeft is direct met zoveel woorden aangekaart als risico in een apart topic wat ook hier weer genoemd is.
Nog een keer, Kijk,
en vergelijk.
https://www.security.nl/posting/494053/Verplicht+online+medisch+dossier

Je kan eromheen praten maar de gefundeerde kritiek met een reëel risico blijft bestaan : ziekenhuizen hangen patiëntendata aan het internet!
Zijn patiënten hierin gekend?
Nee, ja misschien achteraf of op een moment dat ze geen keuze hebben.

Mooi verhaal alleen is het niet sluitend want,
als het belang van de klant is om data daadwerkelijk te beschermen geven jullie niet thuis.
Immers, patiënten data worden aan het internet gekoppeld en erkend wordt dat het wel of niet activeren voor dataroof via een hack niet uitmaakt.

Dan handel je dus niet in het belang van de patiënt maar doe je een soort goocheltruc met woorden en belangen waarbij het eigenbelang de doorslag geeft en niet het security belang van de patiënt!!!

Dat doet er niet toe want ziekenhuizen voeren dit soort systemen eerst in en voeren dan op delen en ook nog noodgedwongen de discussie achteraf!
Zonder de patiënt en haar wensen daarin te betrekken dus zonder echt de belangen van de patiënt te dienen.
Je kan namelijk geen belang van een ander dienen als je die ander daarin niet betrekt!
PUNT!

Dat doet er geen 'ruk' toe.
Net zomin als een verwijzing naar andere software systemen die ook onveilig zouden zijn of welk voorbeeld dan ook.
Het enige dat telt is het risico op inbraak en verlies van patiëntendata (data van de patiënt en niet van jullie!) door het ziekenhuis in kwestie.
De risico afweging wordt bewust door het ziekenhuis gemaakt vanuit het belang van het ziekenhuis.
Anderen worden daar niet in gekend wat nogal vreemd is omdat de patiënt uiteindelijk het risico draagt en niet het ziekenhuis.
Nou,ja het ziekenhuis draagt een financieel risico dat is waar. Het risico op een boete.
Maar dat is een heel anders soort straf dan dat je eigen patiëntendata op straat liggen, dat is een levenslange straf want die data liggen vanaf dan voor altijd op straat.

Als CISO (wat dat dan ook is met welke verantwoordelijkheid dan ook) vindt je wel weer een andere baan, alles vergeven en vergeten.
Alleen niet voor de patiënt die voorgoed zijn data-privacy kwijt is!

Dat is op zich fijn om te horen.
Merkwaardig alleen dat een dergelijke geruststelling via deze weg moet komen en dat er zo geheimzinnig over gedaan moet worden.
De eigenaar van de data heeft het nakijken en dat is raar.

Maar dat doet er voor de patiënten niet toe!
Het ziekenhuis is voor de patiënt 1 organisatie en 1 eigenaar van haar dossier.

Dat is in zoverre dan een geruststelling omdat lekken dan niet met bakken gaan maar per dossier.
Tenzij assistenten (den aan Isala zwolle) gaan slepen met computers vol data en die dan verliezen.

Nogmaals : er is een gefundeerde zorg onder burgers over de onzorgvuldigheid waarmee omgegaan wordt met patiëntendata.
Onrust over het ongevraagd koppelen van patiëntendata aan het internet.

Bij deze nog meer onrust over het feit dat de hete bal wordt doorgeschoven onder het mom van allerhande excuses en geruststellingen die geen geruststellingen zijn.
Als goede intenties voldoende waren in deze maatschappij, tja wat dan..

Het gekke is dat voor burgers, werknemers goede intenties nooit voldoende zijn, je moet presteren en wordt daar op afgerekend.
Wordt een ziekenhuis ter verantwoording geroepen dan moeten de goede intenties genoeg zijn, moet vertrouwen vanuit de patiënt volstaan en zijn fouten, fout beleid en foute beslissingen de schuld van de bezuinigingen en van onderbezetting.
Wat natuurlijk onzin is.
Ziekenhuizen willen die software met allemaal toeters en bellen en denken op van alles en nog wat te kunnen bezuinigen, bijvoorbeeld in de communicatie met de klant (patiënt).
Dat levert nieuwe problemen op (en oeps ook onverwacht laat alsnog protest op) en dan blijken de risico's ook nog in het echt niet afgedekt te zijn en wordt het heet onder de zorgende voeten.

De publieke discussie die dan ontstaat afdoen als ongefundeerd is onterecht, simpelweg omdat het niet goed zit en er te snel processen in gang zijn gezet op te onzorgvuldige wijze en zonder goedkeuren van de patiënt.
Dat is een beetje ziekenhuis eigen, zaken onder de pet willen houden, reputatieschade kost immers geld voor elk bedrijf en ook voor een ziekenhuis dat ook 'gewoon' een groot bedrijf is dat haar broek moet ophouden, zich aan de wet dient te houden en zich dus ook moet realiseren dat de klant koning is; on ieder geval in zoverre koning dat ze geen beslissingen voor de klant dient te nemen waar zij die klant daar gewoon om kan vragen.

De meeste klanten van het ziekenhuis zijn wilsbekwaam en dienen daarom vooraf gevraagd te worden of zij het op prijs stellen dat hun data aan het internet worden gehangen.
Het lijkt erop dat ziekenhuizen (en overige zorginstellingen) dat niet doen, en ik heb het sterke vermoeden dat ze dat ook niet gaan doen.
Als zorginstellingen weigeren te voldoen aan de vraag van de patiënt hun data niet aan het internet te hangen dan zijn ze er uiteindelijk niet voor de klant.

Praat niet recht wat krom is maar maak recht wat krom is!
(Maar ja, dat kost geld, software alsnog aanpassen. Niet het probleem van de patiënt, had je maar om toestemming moeten vragen.)

Dank voor je antwoord
'Gelukkig' (voor de zorginstellingen) is dit nieuws alweer vergeten bij nieuwe wanen van nieuwe dagen, jammer voor de patiënt die het nakijken heeft bij die instellingen waar de digitalisering er botweg doorgedrukt is, want daar komt het hoe je het ook wendt of keert gewoon op neer, zonder vragen doordrukken (=machomanagement tegen een vet salaris zonder werkelijk persoonlijk risico).

En dat is nu precies waar het om gaat, ook als ik mijn account niet activeer kan men na een hack van het portaal mijn dossier buitmaken. Als een patient geen gebruik wil maken van een portaal, dan zouden ook zijn gegevens niet via dat portaal bereikbaar mogen zijn.